Professional Documents
Culture Documents
SoA (Statement of Appicability) - Sanders - Rev1
SoA (Statement of Appicability) - Sanders - Rev1
STATEMENT of APPLICABILITY
(SoA)
ISO 27001:2013
KODE DOKUMEN :
REVISI : 0
JENIS DOKUMEN : Internal Use
MR Direktur
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :1
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :2
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :3
- Form
Pemusnahan
Media
- Form
Pengajuan &
Penutupan
Email
- Form
Permintaan
Instalasi
Software
- Form
Permintaan
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :4
file backup
database
- Form
Permintaan
akses VPN
- Form
Permintaan
akses
Database
- Form
Permintaan
akses
aplikasi
Backend
- Form izin
penggunaan
perangkat
mobile
- Form
Penutupan
akun
karyawan
- MRTG /
Cachi
- Cloudwatch
- Sys Log
Pengendalian:
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :5
- Mengacu kepada
Pengendalian: Klausul ISO
23001
Tugas dan
Semua tanggung - Best Practice
tanggung
jawab keamanan Perusahaan
A.6.1.1 jawab Ya Prosedur BCP Diterapkan
informasi harus Fintech Lain
keamanan
ditetapkan dan -Asosiasi Fintech
informasi
diinformasikan. pembiayaan
Indonesia
Pengendalian:
- Mengacu kepada
Tugas yang saling Klausul ISO
bertentangan harus 23001
dipisahkan untuk - Best Practice
Pemisahan mengurangi Perusahaan
A.6.1.2 Ya Prosedur BCP Diterapkan
tugas peluang perubahan Fintech Lain
yang tidak sah atau -Asosiasi Fintech
tidak disengaja atau pembiayaan
penyalahgunaan Indonesia
aset organisasi.
Pengendalian:
Kontak Tabel kontak - Best Practice
Kontak dengan
dengan darurat Perusahaan
A.6.1.3 pihak berwenang Ya Diterapkan
pihak (Damkar, Fintech Lain
yang relevan harus
berwenang polisi, RS,dll)
dipelihara.
Pengendalian:
Kontak
Kontak dengan - Best Practice
dengan
kelompok khusus Perusahaan
kelompok
atau forum ahli Aftech,AFPI Fintech Lain
A.6.1.4 khusus Ya Diterapkan
keamanan (Sertifikat) -Asosiasi Fintech
(special
informasi dan Pembiayaan
interest
asosiasi profesi Indonesia
groups)
harus dipelihara.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :6
informasi harus
dibahas dalam
project project Bab VI
-Best practice
manageme management Keamanan
Perbankan
nt terlepas dari jenis Informasi
proyek.
Pengendalian:
Kebijakan dan
- Best Practice
langkah-langkah Prosedur
Kebijakan Perusahaan
keamanan harus Mobile
A.6.2.1 perangkat Ya Fintech Lain Diterapkan
diterapkan untuk Devices
mobile -Best practice
mengelola risiko IK Konfigurasi
Perbankan
akibat penggunaan
perangkat mobile.
Pengendalian:
Kebijakan dan
langkah-langkah Form
- Best Practice
keamanan harus Permintaan
Perusahaan
diterapkan untuk Akses VPN
A.6.2.2 Teleworking Ya Fintech Lain Diterapkan
melindungi Prosedur
-Best practice
informasi yang Teleworking
Perbankan
diakses, diproses IK Konfigurasi
atau disimpan di
lokasi teleworking.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :7
Pemeriksaan latar
belakang calon
karyawan dan
kontraktor harus rekrutmen
dilaksanakan dan Seleksi,
sesuai dengan - Prosedur
peraturan Pengajuan
perundang- dan Perusahaan
undangan yang Penutupan Fintech Lain
berlaku, etika -Best practice
(screening) Email dan
yang berlaku dan Perbankan
User Sanders
proporsional -Peraturan OJK
- Manual
terhadap 77/2016
persyaratan Perusahaan
bisnis, klasifikasi Bab III
informasi yang Manajemen
akan diakses dan Karyawan
risiko yang
mungkin dihadapi
organisasi.
Pengendalian:
-Manual
Calon pegawai operasional
dan kontraktor perusahaan
harus menyetujui Bab III - Best Practice
dan Manajemen Perusahaan
Persyaratan
menandatangani Karyawan dan Fintech Lain
dan
A.7.1.2 syarat dan aturan Ya Manual -Best practice Diterapkan
ketentuan
kontrak operasional Perbankan
kepegawaian
kepegawaian Bab II Point 9 -Peraturan OJK
yang menyatakan mengenai 77/2016
tanggung jawab aturan Vendor
keamanan -Kontrak kerja,
informasi. NDA, PP
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :8
Manajemen harus
mewajibkan operasional
setiap pegawai perusahaan Perusahaan
dan kontraktor Bab VI Fintech Lain
jawab menerapkan Keamanan -Best practice
manajemen keamanan Informasi, Perbankan
informasi sesuai NDA -Peraturan OJK
dengan kebijakan karyawan dan 77/2016
dan prosedur vendor
yang berlaku.
Pengendalian:
Setiap pegawai
-Prosedur
dan kontraktor
training and
harus secara - Best Practice
development
Kepedulian, berkala mendapat Perusahaan
-Manual
pendidikan pelatihan yang Fintech Lain
operasional
A.7.2.2 dan pelatihan cukup tentang Ya -Best practice Diterapkan
perusahaan
keamanan kepedulian, Perbankan
Bab III
informasi kebijakan dan -Peraturan OJK
Manajemen
prosedur yang 77/2016
Karyawan
berlaku sesuai
dengan pekerjaan
masing-masing.
Pengendalian:
Proses
kedisiplinan
secara formal - Best Practice
harus Perusahaan
diberlakukan dan Fintech Lain
Peraturan
A.7.2.3 Kedisiplinan dikomunikasikan Ya -Best practice Diterapkan
perusahaan
ke seluruh Perbankan
pegawai yang -Peraturan OJK
melakukan 77/2016
pelanggaran
keamanan
informasi.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :9
- Manual
Operasional
Pengendalian: Perusahaan
Bab VI
Tugas dan Keamanan
tanggung jawab Informasi
terhadap - SOP - Best Practice
Tanggung
keamanan Pengajuan Perusahaan
jawab
informasi harus dan Fintech Lain
pemindahan
A.7.3.1 ditetapkan untuk Ya Penutupan -Best practice Diterapkan
atau
pemindahan atau Email dan Perbankan
pemberhentia
pemberhentian User -Peraturan OJK
n pekerjaan
pegawai dan - Form 77/2016
dikomunikasikan Terminasi
kepada pegawai Karyawan
atau kontraktor. - Prosedur
Human
Resources
Security
A.8 Manajemen asset
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :10
dipelihara.
- Best Practice
Pengendalian:
Perusahaan
Kepemilika Fintech Lain
A 8.1.2 Aset investarisasi Ya Daftar aset Diterapkan
n aset -Best practice
harus ada pemilik.
Perbankan
Pengendalian:
Aturan-aturan
Manual
penggunaan
operasional - Best Practice
informasi yang
Bab IX Perusahaan
Aturan berhubungan
pengendalian Fintech Lain
A. 8.1.3 pemakaian dengan perangkat Ya Diterapkan
Inventori dan -Best practice
aset pemrosesan
Aktiva Tetap Perbankan
informasi harus
dan Form
diidentifikasi,
Asset
didokumentasikan
dan diterapkan.
Pengendalian:
Manual
Semua pegawai dan
operasional
pihak luar harus - Best Practice
Bab IX
mengembalikan Perusahaan
pengendalian
Pengembali semua aset yang Fintech Lain
A.8.1.4 Ya Inventori dan Diterapkan
an aset digunakannya saat -Best practice
Aktiva Tetap
mereka dinyatakan Perbankan
dan Form
berhenti bekerja
Terminasi
sesuai dengan
Karyawan
perjanjian kontrak.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :11
menurut nilai,
peraturan hukum,
sensitivitas dan
Perbankan
tingkat
kepentingan
(kritikal).
Pengendalian:
- Mengacu kepada
Klausul ISO
Prosedur harus
23001
dibuat untuk
- Best Practice
pelabelan SOP
Pelabelan Perusahaan
A.8.2.2 informasi sesuai Ya Klasifikasi Diterapkan
informasi Fintech Lain
dengan klasifikasi Informasi
-Asosiasi Fintech
informasi yang
pembiayaan
telah ditentukan
Indonesia
oleh organisasi.
Pengendalian:
- Mengacu kepada
Klausul ISO
Prosedur
23001
penanganan
- Best Practice
informasi harus SOP
Penanganan Perusahaan
A.8.2.3 dibuat sesuai Ya Klasifikasi Diterapkan
informasi Fintech Lain
dengan klasifikasi Informasi
-Asosiasi Fintech
informasi yang
pembiayaan
telah ditentukan
Indonesia
organisasi.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :12
organisasi.
Pengendalian:
- Mengacu kepada
Klausul ISO
Media harus
- Prosedur 23001
dimusnahkan
Pemusnaha - Best Practice
secara aman jika
Pemusnahan n Media Perusahaan
A.8.3.2 tak lagi Ya Diterapkan
media - Form Fintech Lain
digunakan dengan
pemusnaha -Asosiasi Fintech
mengacu
n media pembiayaan
prosedur yang
Indonesia
berlaku.
Pengendalian:
- Mengacu kepada
Media yang Klausul ISO
- Procedure
berisikan 23001
mobile
informasi harus device - Best Practice
Transfer dilindungi dari - Form izin Perusahaan
A.8.3.3 Ya Diterapkan
media fisik akses yang tidak penggunaan Fintech Lain
sah, penggunaan perangkat -Asosiasi Fintech
ilegal atau mobile pembiayaan
device Indonesia
kerusakan selama
transportasi.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :13
- Form
permintaan
akses
aplikasi
backend
- Form izin
penggunaan
perangkat
informasi. mobile
device
- Form
Permintaan
file backup
database
Form
Permintaan
akses Database
Pengendalian: - Mengacu kepada
Klausul ISO
Prosedur
User hanya dapat 23001
Control Access
Akses ke mengakses - Best Practice
Form
jaringan dan jaringan dan Perusahaan
A.9.1.2 Ya Permintaan Diterapkan
layanan layanan jaringan Fintech Lain
Akses internet
jaringan yang telah secara -Asosiasi Fintech
wifi
spesifik diberikan pembiayaan
kewenangan. Indonesia
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :14
Penutupan
Akun
Karyawan
- Prosedur
Kontrol
Akses
- Form
permintaan
fasilitas
karyawan
- Form
permintaan
instalasi
Pengendalian: software
- Form - Mengacu kepada
Proses permintaan Klausul ISO
penyediaan user akses 23001
access harus internet Wifi - Best Practice
Penyediaan diimplementasika - Form Perusahaan
A.9.2.2 Ya Checklist Diterapkan
user access n untuk Fintech Lain
user PC
pemberian atau Enkripsi -Asosiasi Fintech
pembatalan hak - Form list pembiayaan
akses terhadap instalasi Indonesia
semua jenis user. software di
PC
- Form
permintaan
akses
aplikasi
backend
- Form izin
penggunaan
perangkat
mobile
device
- Mengacu kepada
Pengendalian: Klausul ISO
23001
Manajemen Alokasi dan Prosedur - Best Practice
hak akses penggunaan hak Manajemen Perusahaan
A.9.2.3 Ya Diterapkan
khusus/istime akses khusus Hak Akses Fintech Lain
wa harus dibatasi dan Istimewa -Asosiasi Fintech
dikendalikan. pembiayaan
Indonesia
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :15
Klausul ISO
kerahasiaan 23001
Alokasi atas
otentikasi Manajemen - Best Practice
kerahasiaan
informasi Informasi Perusahaan
otentikasi harus
(authenticati Otentikasi Fintech Lain
dikendalikan
on Rahasia -Asosiasi Fintech
melalui proses
information) Pengguna pembiayaan
manajemen
user Indonesia
formal.
- Mengacu kepada
Klausul ISO
Pengendalian:
23001
Monitoring
- Best Practice
Review Pemilik aset harus tools akses
Perusahaan
A.9.2.5 terhadap hak me-review hak Ya user (jaringan Diterapkan
Fintech Lain
akses user akses user secara lokal, server,
-Asosiasi Fintech
berkala. dan backend
pembiayaan
Indonesia
- Form
penutupan
Pengendalian: email
- Form
penutupan
Hak akses semua akses VPN - Mengacu kepada
pegawai dan - Form Klausul ISO
pengguna pihak penutupan 23001
eksternal pada akses internet
Penghapusan - Best Practice
informasi dan Wifi
atau - Form Perusahaan
A.9.2.6 fasilitas Ya Fintech Lain Diterapkan
penyesuaian Penutupan
pengelolaan
hak akses akses
informasi harus -Asosiasi Fintech
backend pembiayaan
dihapus sewaktu - Form
Indonesia
terjadi penutupan
penghentian akun
kepegawaian karyawan
- Prosedur Hu-
man Re-
sources Se-
curity
A.9.3 Tanggung jawab user
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :16
(authentication information).
Pengendalian:
- Mengacu kepada
Apabila Klausul ISO
disyaratkan 23001
kebijakan kontrol - Best Practice
Prosedur log- Kebijakan
akses, akses ke Perusahaan
A.9.4.2 on yang Ya Akses Sistem Diterapkan
sistem dan Fintech Lain
aman dan Aplikasi
aplikasi harus -Asosiasi Fintech
dikendalikan pembiayaan
dengan prosedur Indonesia
log-on.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :17
Perusahaan
interaktif dan
Fintech Lain
menjamin
-Asosiasi Fintech
kualitas
pembiayaan
password.
Indonesia
Pengendalian:
- Mengacu kepada
Klausul ISO
Pengendalian: 23001
Kontrol akses - Best Practice
terhadap Akses ke program Prosedur Perusahaan
A.9.4.5 Ya Diterapkan
program source code harus Kontrol Access Fintech Lain
source code dibatasi. -Asosiasi Fintech
pembiayaan
Indonesia
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :18
kriptografi untuk
memproteksi
Fintech Lain
informasi harus
-Asosiasi Fintech
dikembangkan (EV) dan fitur
pembiayaan
dan enkripsi SHA1
Indonesia
diimplementasika
n.
Pengendalian:
Pembatas
- Mengacu kepada
keamanan harus
Manual Klausul ISO
idefinisikan dan
Operasional 23001
digunakan untuk
Bab VIII - Best Practice
Perimeter melindungi
Keamanan Perusahaan
A.11.1.1 keamanan wilayah atau Ya Diterapkan
Gedung dan Fintech Lain
fisik ruang yang berisi
Tempat Kerja -Asosiasi Fintech
informasi dan
Denah Kantor pembiayaan
perangkat
Indonesia
pemrosesan
informasi sensitif
atau kritis.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :19
(secure area)
harus dilindungi
kontrol akses - Best Practice
Keamanan
masuk yang Perusahaan
Gedung dan
sesuai untuk Fintech Lain
entry Tempat Kerja
menjamin hanya -Asosiasi Fintech
controls) Manual Akses
orang yang pembiayaan
Door
berwenang yang Indonesia
diperbolehkan
masuk.
Manual
Operasional - Mengacu kepada
Pengendalian: Bab VIII Klausul ISO
Keamanan 23001
Keamanan fisik Gedung dan - Best Practice
Keamanan
untuk kantor, Tempat Kerja Perusahaan
A.11.1.3 kantor, ruang Ya Diterapkan
ruang dan fasilitas CCTV,APAR, Fintech Lain
dan fasilitas
harus disediakan Eksternak -Asosiasi Fintech
dan diterapkan. Security, pembiayaan
Gembok Indonesia
Kantor
Manual
Pengendalian:
Operasional - Mengacu kepada
Bab VIII Klausul ISO
Perlindungan
Keamanan 23001
Perlindungan fisik terhadap
Gedung dan - Best Practice
ancaman dari bencana alam,
Tempat Kerja Perusahaan
A.11.1.4 luar dan serangan Ya Diterapkan
Keamanan Fintech Lain
lingkungan berbahaya atau
Fisik dan -Asosiasi Fintech
sekitar kecelakaan harus
Lingkungan, pembiayaan
dibuat dan
penempatan Indonesia
diterapkan.
CCTV, door
access
A.11.1.5 Bekerja di Pengendalian: Ya Manual - Mengacu kepada Diterapkan
area aman Operasional Klausul ISO
(Working in Prosedur bekerja Bab VIII 23001
secure areas) di daerah aman Keamanan - Best Practice
harus dibuat dan Gedung dan Perusahaan
diterapkan. Tempat Kerja Fintech Lain
dan -Asosiasi Fintech
Lingkungan, pembiayaan
penempatan Indonesia
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :20
CCTV, door
access
Pengendalian:
Area-area seperti
area bongkar
Manual
muat dan area - Mengacu kepada
Operasional
keluar-masuk Klausul ISO
Bab VIII
orang harus 23001
Keamanan
Area dikontrol dan, - Best Practice
Gedung dan
pengiriman jika mungkin, Perusahaan
A.11.1.6 Ya Tempat Kerja Diterapkan
dan bongkar dipisahkan dari Fintech Lain
Lingkungan,
muat fasilitas -Asosiasi Fintech
penempatan
pemrosesan pembiayaan
CCTV, door
informasi untuk Indonesia
access
menghindari
akses informasi
oleh pihak yang
tidak berwenang.
A.11.2 Peralatan
Pengendalian:
Semua peralatan
Manual
harus - Mengacu kepada
Operasional
ditempatkan pada Klausul ISO
Bab VIII
tempatnya dan 23001
Keamanan
Penempatan dilindungi untuk - Best Practice
Gedung dan
dan mengurangi risiko Perusahaan
A.11.2.1 Ya Tempat Kerja Diterapkan
perlindungan ancaman dan Fintech Lain
Lingkungan,
alat bahaya -Asosiasi Fintech
penempatan
lingkungan atau pembiayaan
CCTV, door
memberi Indonesia
access
kesempatan akses
oleh pihak yang
tidak berwenang.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :21
Pengendalian: Manual
- Mengacu kepada
Operasional
Klausul ISO
Peralatan harus Bab VIII
23001
dilindungi dari Keamanan
- Best Practice
power failures Gedung dan
Sarana Perusahaan
A.11.2.2 dan gangguan lain Ya Tempat Kerja Diterapkan
pendukung Fintech Lain
yang Lingkungan,
-Asosiasi Fintech
mengakibatkan penempatan
pembiayaan
sarana pendukung CCTV, door
Indonesia
tidak berfungsi. access
Pengendalian:
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :22
penempatan
yang berwenang. CCTV, door Indonesia
access
Pengendalian:
- Mengacu kepada
Keamanan harus
Klausul ISO
diterapkan
23001
terhadap aset
Keamanan - Best Practice
yang berada SOP Mobile
peralatan dan Perusahaan
A.11.2.6 diluar lokasi Ya Device Diterapkan
aset di luar Fintech Lain
organisasi dengan
lokasi -Asosiasi Fintech
mempertimbangk
pembiayaan
an risiko saat
Indonesia
bekerja di luar
lokasi organisasi.
Pengendalian:
Peralatan yang
digunakan
sebagai media
- Mengacu kepada
penyimpanan
Klausul ISO
harus diverifikasi
Kemananan 23001
dengan benar
pembuangan SOP - Best Practice
untuk menjamin
peralatan Pemusnahan Perusahaan
A.11.2.7 bahwa setiap data Ya Diterapkan
atau media Fintech Lain
sensitif termasuk
penggunaan -Asosiasi Fintech
software
kembali pembiayaan
berlisensi telah
Indonesia
dihapus atau
ditimpa
(overwritten)
secara aman
sebelum dibuang.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :23
memadai. Indonesia
Pengendalian:
Kebijakan clear
desk untuk kertas
dan media
penyimpanan
Clear desk bergerak/berpinda IK Clear desk
Best Practice
A.11.2.9 dan clear h (removable) dan Ya and clear Diterapkan
Perbankan
screen kebijakan clear screen
screen untuk
fasilitas
pemrosesan
informasi harus
dijalankan.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :24
dan
Penutupan
Email dan
User Sanders
- Keamanan
dan
Kerahasiaan
informasi
- Account
officer
- Internal audit
- Keluhan
pelanggan
- Whistle
blower
system
-
Pengendalian:
- Mengacu kepada
Perubahan
Klausul ISO
organisasi, proses
23001
bisnis, fasilitas
form - Best Practice
pengolahan
Manajemen permintaan Perusahaan
A.12.1.2 informasi dan Ya Diterapkan
perubahan perubahan Fintech Lain
sistem yang
dokumen -Asosiasi Fintech
mempengaruhi
pembiayaan
keamanan
Indonesia
informasi harus
dikendalikan.
Pengendalian:
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :25
Pengendalian:
Fasilitas
- Mengacu kepada
pengembangan,
Klausul ISO
Pemisahan pengujian dan
23001
fasilitas operasional harus IK pemisahan
- Best Practice
pengembang dipisahkan untuk lingkungan
Perusahaan
A.12.1.4 an, pengujian mengurangi risiko Ya pengembangan Diterapkan
Fintech Lain
dan akses atau , pengujian dan
-Asosiasi Fintech
lingkungan perubahan yang operasional
pembiayaan
operasional tidak sah atau
Indonesia
perubahan
lingkungan
operasional.
Pengendalian:
- Mengacu kepada
Kontrol yang
Klausul ISO
bersifat
23001
pendeteksian, - Prosedure - Best Practice
pencegahan dan malware
Kontrol Perusahaan
A.12.2.1 pemulihan agar Ya - Form laporan Fintech Lain Diterapkan
malware
terlindung dari penanganan -Asosiasi Fintech
malware untuk insiden pembiayaan
memberikan
Indonesia
kesadaran user
harus diterapkan.
A.12.3 Back-up
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :26
permintaan
file backup
database
- Form
sistem gambar permintaan
file backup
(system images)
aplikasi
harus dilakukan Fintech Lain
- Form
dan diuji secara permintaan -Asosiasi Fintech
berkala sesuai file backup pembiayaan
dengan kebijakan entire server Indonesia
back-up yang - Form
telah ditetapkan. permintaan
akses ke
perangkat
backup fisik
- Form
checklist
autobackup
A.12.4 Log dan Pemantauan (logging and
monitoring)
Pengendalian:
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :27
-Asosiasi Fintech
dan akses secara
pembiayaan
yang tidak sah.
Indonesia
Pengendalian:
- Mengacu kepada
Klausul ISO
Kegiatan sistem
23001
administrator dan
Log Kebijakan - Best Practice
operator harus
A.12.4.3 administrator Ya pencatatan Perusahaan Diterapkan
direkam dan log
dan operator event log Fintech Lain
dilindungi dan di-
-Asosiasi Fintech
review secara
pembiayaan
berkala.
Indonesia
Pengendalian:
Penunjuk waktu
- Mengacu kepada
dari seluruh
Klausul ISO
sistem
23001
pemrosesan
- Best Practice
informasi dalam Kebijakan
Sinkronisasi Perusahaan
A.12.4.4 organisasi atau Ya pencatatan Diterapkan
waktu Fintech Lain
domain keamanan event log
-Asosiasi Fintech
harus
pembiayaan
disinkronisasikan
Indonesia
dengan satu
sumber penunjuk
waktu.
- Mengacu kepada
Pengendalian: Klausul ISO
23001
Instalasi Form ditetapkan - Best Practice
Form list
software untuk mengontrol Perusahaan
A.12.5.1 Ya instalasi Diterapkan
pada sistem instalasi software Fintech Lain
software di PC
operasional pada sistem -Asosiasi Fintech
operasional. pembiayaan
Indonesia
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :28
Pengendalian:
Kebijakan
pentest
Informasi yang
tepat waktu - Mengacu kepada
tentang Klausul ISO
Kontrol kelemahan teknis 23001
terhadap dari sistem - Best Practice
kelemahan informasi yang Perusahaan
A.12.6.1 Ya Diterapkan
secara teknis digunakan harus Fintech Lain
(vulnerability ditemukan, -Asosiasi Fintech
) dievaluasi, dan pembiayaan
diukur secara Indonesia
tepat untuk
diketahui risiko
yang terkait.
- Mengacu kepada
Kebijakan
Klausul ISO
Pengendalian: pentest
23001
- Best Practice
Pembatasan Peraturan
Perusahaan
A.12.6.2 instalasi instalasi software Ya Diterapkan
Fintech Lain
software harus diterapkan
-Asosiasi Fintech
dan dijalankan.
pembiayaan
Indonesia
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :29
operasional harus
direncanakan
secara hati-hati
dan disetujui
pembiayaan
untuk mengurangi
Indonesia
risiko dari
gangguan
terhadap proses
bisnis.
- Mengacu kepada
Pengendalian: Klausul ISO
23001
Jaringan harus - Prosedure
Kontrol - Best Practice
dikelola dan kontrol akses
jaringan - Form Perusahaan
A.13.1.1 dikontrol untuk Ya Fintech Lain Diterapkan
(network permintaan
melindungi
controls) akses
sistem informasi -Asosiasi Fintech
internet wifi
dan aplikasi. pembiayaan
Indonesia
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :30
subkontraktorkan.
Pengendalian:
Kebijakan,
- Mengacu kepada
prosedur dan
Klausul ISO
aturan transfer
23001
informasi harus
Kebijakan - Best Practice
ditetapkan guna Prosedure
dan prosedur Perusahaan
A.13.2.1 melindungi Ya transfer Diterapkan
transfer Fintech Lain
pertukaran informasi
informasi -Asosiasi Fintech
informasi melalui
pembiayaan
penggunaan
Indonesia
segala tipe
fasilitas
komunikasi.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :31
Klausul ISO
23001
Informasi dalam - Best Practice
elektronik bentuk pesan Perusahaan
transfer
(electronic elektronik harus Fintech Lain
informasi
messaging) dilindungi dengan -Asosiasi Fintech
tepat. pembiayaan
Indonesia
Pengendalian:
Perjanjian
kerahasiaan atau
Perjanjian perjanjian non-
NDA untuk
kerahasiaan disclosure yang
perjanjian
dan dibutuhkan
A.13.2.4 Ya NDA kerarahasiaan Diterapkan
perjanjian organisasi untuk
informasi dengan
non- melindungi
para pihak
disclosure informasi harus
diidentifikasi dan
dikaji secara
regular.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :32
informasi baru
atau perangkat
tambahan untuk Indonesia
sistem informasi
yang ada.
Pengendalian:
- Dokumen
Informasi yang teknis - Mengacu kepada
melewati jaringan infrastructure Klausul ISO
publik harus - Penggunaan 23001
Pengamanan
dilindungi dari Secure - Best Practice
layanan
aktivitas Socket Layer Perusahaan
A.14.1.2 aplikasi pada Ya Diterapkan
penipuan, (SSL) Fintech Lain
jaringan
perselisihan Extended -Asosiasi Fintech
publik
kontrak, Validation pembiayaan
pengungkapan (EV) dan Indonesia
yang tidak sah fitur enkripsi
dan modifikasi. SHA1
Pengendalian:
Informasi yang
terlibat dalam
transaksi layanan - Prosedure - Mengacu kepada
virtual dan
aplikasi harus Klausul ISO
escrow
dilindungi untuk - Dokumen 23001
mencegah teknis - Best Practice
Perlindungan infrastructure
incomplete Perusahaan
transaksi - Penggunaan
A.14.1.3 transmission, mis- Ya Fintech Lain Diterapkan
layanan Secure Socket
routing, Layer (SSL) -Asosiasi
aplikasi
perubahan pesan Extended Fintech
yang tidak sah, Validation pembiayaan
(EV) dan Indonesia
pengungkapan
fitur enkripsi
yang tidak sah, SHA1
duplikasi pesan
yang tidak sah
atau replay.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :33
- Prosedure
development
and
application
system
- Form
permintaan
Pengendalian: fitur dan - Mengacu kepada
perubahan Klausul ISO
Aturan - Form 23001
pengembangan permintaan
- Best Practice
Kebijakan software dan akses VPN
- Form Perusahaan
pengembang sistem harus
A.14.2.1 Ya permintaan Fintech Lain Diterapkan
an yang ditetapkan dan
file backup
aman diterapkan untuk -Asosiasi
aplikasi
proses Fintech
- Form upload pembiayaan
pengembangan server Indonesia
dalam organisasi. - Form
permintaan
akses ke
database
- Form
permintaan
akses ke
aplikasi
backend
Pengendalian: - Mengacu kepada
- Prosedure Klausul ISO
Perubahan development 23001
implementasi and - Best Practice
Prosedur application
harus dikontrol Perusahaan
A.14.2.2 perubahan Ya system Diterapkan
dengan Fintech Lain
kontrol - Form
menggunakan permintaan -Asosiasi Fintech
prosedur kontrol fitur dan pembiayaan
perubahan perubahan Indonesia
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :34
untuk menjamin
tidak berdampak
pembiayaan
pada operasional
Indonesia
atau keamanan
organisasi.
Pengendalian:
- Mengacu kepada
Modifikasi paket Klausul ISO
software harus 23001
Pembatasan dihindari, dibatasi Form - Best Practice
perubahan hanya pada permintaan Perusahaan
A.14.2.4 Ya Diterapkan
paket perubahan yang fitur dan Fintech Lain
software perlu, dan seluruh perubahan -Asosiasi Fintech
perubahan harus pembiayaan
dikontrol secara Indonesia
ketat.
Pengendalian:
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :35
- Mengacu kepada
Pengendalian:
Klausul ISO
23001
Organisasi harus
Prosedur - Best Practice
memonitor
Outsourced Development Perusahaan
A.14.2.7 kegiatan Ya Diterapkan
development dan aplikasi Fintech Lain
pengembangan
sistem -Asosiasi Fintech
sistem
pembiayaan
outsourcing.
Indonesia
- Mengacu kepada
Pengendalian: Klausul ISO
23001
Testing fungsi - Best Practice
Testing
keamanan harus Kebijakan Perusahaan
A.14.2.8 keamanan Ya Diterapkan
dilakukan selama pentest Fintech Lain
sistem
proses -Asosiasi Fintech
pengembangan. pembiayaan
Indonesia
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :36
Indonesia
Pengendalian:
Persyaratan
keamanan - Mengacu kepada
informasi untuk Manual Klausul ISO
Kebijakan
mencegah risiko operasional 23001
keamanan
yang terkait Bab II - Best Practice
informasi
dengan akses Prosedur Perusahaan
A.15.1.1 untuk Ya Diterapkan
supplier terhadap Pembelian & Fintech Lain
hubungan
aset organisasi Prosedur -Asosiasi Fintech
dengan
harus disepakati Evaluasi pembiayaan
supplier Suplier
dengan supplier Indonesia
dan
didokumentasikan
.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :37
milik organisasi.
Pengendalian:
Perjanjian dengan
supplier harus
- Mengacu kepada
mencakup
Klausul ISO
persyaratan untuk
23001
mencegah risiko Manual
Teknologi - Best Practice
keamanan operasional
informasi dan Perusahaan
A.15.1.3 informasi yang Ya Bab II Diterapkan
komunikasi Fintech Lain
terkait dengan Prosedur
supply chain -Asosiasi Fintech
teknologi Pembelian
pembiayaan
informasi dan
Indonesia
komunikasi
layanan termasuk
supply chain
produk.
- Mengacu kepada
Pengendalian:
Klausul ISO
Manual 23001
Pemantauan Organisasi harus
operasional - Best Practice
dan memantau,
Bab II Perusahaan
A.15.2.1 pengkajian mengkaji dan Ya Diterapkan
Prosedur Fintech Lain
ulang jasa mengaudit
Evaluasi -Asosiasi Fintech
supplier supplier secara
Suplier pembiayaan
berkala.
Indonesia
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :38
pengendalian
keamanan
informasi yang
ada, harus
dikelola dengan
mempertimbangk
an tingkat kritikal
sistem dan proses
bisnis terkait dan
asesmen ulang
dari risiko.
Pengendalian:
Tanggung jawab
- Mengacu kepada
manajemen dan
Klausul ISO
prosedur-prosedur
23001
harus dibuat Prosedur
- Best Practice
Tanggung untuk Managemen
Perusahaan
A.16.1.1 jawab dan memastikan Ya Insiden Diterapkan
Fintech Lain
prosedur tanggapan yang keamanan
-Asosiasi Fintech
cepat, efektif dan informasi,
pembiayaan
teratur dalam
Indonesia
mengatasi insiden
keamanan
informasi.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :39
dilaporkan
kepada
manajemen yang
tepat secepat
mungkin.
Pengendalian:
Semua karyawan
dan kontraktor
yang - Mengacu kepada
menggunakan Klausul ISO
sistem informasi 23001
milik organisasi - Best Practice
Pelaporan
diwajibkan Form tindak Perusahaan
A.16.1.3 kelemahan Ya
mencatat dan lanjut Fintech Lain
keamanan
melaporkan setiap -Asosiasi Fintech
kelemahan pembiayaan
keamanan yang Indonesia
diamati atau
dicurigai dalam
sistem atau
layanan.
Pengendalian:
Kejadian
- Mengacu kepada
keamanan
Klausul ISO
informasi harus
Asesmen dan 23001
diases dan
keputusan - Best Practice
diambil
tentang Form Perusahaan
A.16.1.4 keputusan jika Ya Diterapkan
kejadian Eradication Fintech Lain
kejadian ini
keamanan -Asosiasi Fintech
diklasifikasikan
informasi pembiayaan
sebagai insiden
Indonesia
keamanan
informasi atau
tidak.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :40
Fintech Lain
dengan prosedur -Asosiasi Fintech
terdokumentasi. pembiayaan
Indonesia
Pengendalian:
Pengendalian:
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :41
Pengendalian:
Organisasi harus
menetapkan
- Mengacu kepada
persyaratan untuk
Klausul ISO
keamanan
Perencanaan 23001
informasi dan
keamanan Form - Best Practice
kesinambungan
informasi keamanan Perusahaan
A.17.1.1 manajemen Ya Diterapkan
yang sasaran Fintech Lain
keamanan
berkesinamb informasi -Asosiasi Fintech
informasi dalam
ungan pembiayaan
situasi yang
Indonesia
merugikan,
misalnya selama
krisis atau
bencana.
Pengendalian:
Organisasi harus
menetapkan,
mendokumentasik
an, menerapkan
Menerapkan dan memelihara
keamanan proses, prosedur
informasi dan kontrol guna Sudah
A.17.1.2 Ya - Diterapkan
yang memastikan diterapkan
berkesinamb tingkat yang
ungan diperlukan
keamanan
informasi yang
berkesinambunga
n selama situasi
yang merugikan.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :42
berkesinambunga
n secara berkala
untuk
memastikan
bahwa
pengendalian ini
valid dan efektif
dalam situasi
yang merugikan.
A.17.2 Redundancies
Pengendalian:
- Mengacu kepada
Fasilitas Klausul ISO
pengolahan 23001
Ketersediaan informasi harus Prosedur - Best Practice
fasilitas dilakukan dengan backup dan Perusahaan
A.17.2.1 Ya Diterapkan
pengolahan redundancies disaster Fintech Lain
informasi yang cukup untuk recovery -Asosiasi Fintech
memenuhi pembiayaan
kebutuhan Indonesia
ketersediaan.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :43
organisasi untuk
memenuhi
persyaratan
tersebut harus
ditetapkan secara
pembiayaan
eksplisit,
Indonesia
dikomunikasikan
dan selalu up-date
untuk tiap-tiap
sistem informasi
dan organisasi.
Pengendalian:
Prosedur yang
sesuai harus
diterapkan untuk
memastikan - Mengacu kepada
kesesuaian Klausul ISO
dengan peraturan 23001
Form Tabel
Hak hukum, peraturan - Best Practice
Peraturan
kekayaan perundang- Perusahaan
A.18.1.2 Ya perundangan Diterapkan
intelektual undangan dan Fintech Lain
keamanan
(HAKI) perjanjian kontrak -Asosiasi Fintech
informasi
dalam pembiayaan
penggunaan Indonesia
material yang
memiliki HAKI
dan penggunaan
software yang
legal.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :44
persyaratan
kontrak dan
bisnis.
Pengendalian:
- Mengacu kepada
Klausul ISO
Perlindungan data
23001
Perlindungan dan rahasia Form Tabel
- Best Practice
data dan informasi pribadi Peraturan
Perusahaan
A.18.1.4 rahasia harus dijamin Ya perundangan Diterapkan
Fintech Lain
informasi sesuai dengan keamanan
-Asosiasi Fintech
pribadi undang-undang informasi
pembiayaan
dan peraturan
Indonesia
yang berlaku.
Pengendalian:
- Mengacu kepada
Pengendalian
Klausul ISO
kriptografi harus
23001
sesuai dengan Form Tabel
- Best Practice
Regulasi perjanjian yang Peraturan
Perusahaan
A.18.1.5 pengendalian telah disepakati, Ya perundangan Diterapkan
Fintech Lain
kriptografi peraturan keamanan
-Asosiasi Fintech
perundang- informasi
pembiayaan
undangan
Indonesia
daregulasi yang
berlaku.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :45
pengendalian,
kontrol,
kebijakan, proses,
dan prosedur
kemananan
informasi) harus
dikaji ulang
secara berkala
dan independen,
atau ketika terjadi
perubahan
signifikan
terhadap
penerapan
keamanan.
Pengendalian:
Manajer harus
memastikan
bahwa seluruh - Mengacu kepada
prosedur Klausul ISO
keamanan dalam 23001
Pemenuhan area tanggung - Best Practice
kebijakan jawabnya Prosedur audit Perusahaan
A.18.2.2 Ya Diterapkan
keamanan dilakukan dengan internal Fintech Lain
dan standar benar untuk -Asosiasi Fintech
mencapai pembiayaan
pemenuhan Indonesia
kebijakan internal
keamanan dan
standar yang
ditetapkan.
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :46
Internal Use